Win2003 Server安全配置完整篇

 
一、先关闭不需要的端口

　　我比较小心，先关了端口。只开了3389 21 80 1433有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动

　　当然大家也可以更改远程连接端口方法

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

　　"PortNumber"=dword:00002683

　　保存为.REG文件双击即可!更改为9859，当然大家也可以换别的端口， 直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可!重启生效

　　还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点，不要怪俺说俺写文章是垃圾...如果要关闭不必要的端口，在\\system32\\drivers\\etc\\services中有列表，记事本就可以打开的。如果懒惰的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。功能还可以!Internet
连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。

　　关于端口的介绍可以访问:http://bbs.86dm.net/viewthread.php?tid=7&extra=page%3D1

　　二、关闭不需要的服务 打开相应的审核策略

　　我关闭了以下的服务

　　Computer Browser 维护网络上计算机的最新列表以及提供这个列表

　　Task scheduler 允许程序在指定时间运行

　　Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

　　Distributed File System: 局域网管理共享文件，不需要禁用

　　Distributed linktracking client:用于局域网更新连接信息，不需要禁用

　　Error reporting service:禁止发送错误报告

　　Microsoft Serch:提供快速的单词搜索，不需要可禁用

　　NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的，不需要禁用

　　PrintSpooler:如果没有打印机可禁用

　　Remote Registry:禁止远程修改注册表

　　Remote Desktop Help Session Manager:禁止远程协助

　　Workstation 关闭的话远程NET命令列不出用户组

　　把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。

　　在"网络连接"里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议(TCP/IP)，由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

　　在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。

　　推荐的要审核的项目是

　　登录事件 成功 失败

　　账户登录事件 成功 失败

　　系统事件 成功 失败

　　策略更改 成功 失败

　　对象访问 失败

　　目录服务访问 失败

　　特权使用 失败

　　三、关闭默认共享的空连接

　　由于比较简单，这里就不详谈了。

　　四、磁盘权限设置

　　C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

　　Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。

　　另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限;

　　譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说:"只要给我一个webshell，我就能拿到system"，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，没个盘都只给adinistrators权限。

　　另外，还将

　　net.exe NET命令

　　cmd.exe CMD 懂电脑的都知道咯

　　tftp.exe

　　netstat.exe

　　regedit.exe

　　at.exe

　　attrib.exe

　　cacls.exe ACL用户组权限设置，此命令可以在NTFS下设置任何文件夹的任何权限!偶入侵的时候没少用这个

　　大家都知道ASP木马吧，有个CMD运行这个的，这些如果都可以在CMD下运行..55，，估计别的没啥，format下估计就哭料~~~(:这些文件都设置只允许administrators访问。

　　五、防火墙、杀毒软件的安装

　　防御DDOS攻击，可以用冰盾防火墙。杀毒软件可以用诺顿等。

　　六、SQL2000 SERV-U FTP安全设置

　　SQL安全方面

　　1、System Administrators 角色最好不要超过两个

　　2、如果是在本机
4000
最好将身份验证配置为Win登陆

　　3、不要使用Sa账户，为其配置一个超级复杂的密码

　　4、删除以下的扩展存储过程格式为

　　use master

　　sp_dropextendedproc '扩展存储过程名

　　xp_cmdshell:是进入操作系统的最佳捷径，删除

　　访问注册表的存储过程，删除

　　Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue

　　Xp_regread　　　　　 Xp_regwrite　　　Xp_regremovemultistring

　　OLE自动存储过程，不需要删除

　　Sp_OACreate　 　Sp_OADestroy　　　　Sp_OAGetErrorInfo

　　Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop

　　5、隐藏 SQL Server、更改默认的1433端口

　　右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口

　　serv-u的几点常规安全需要设置下

　　选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个"PORT"命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。

　　七、IIS安全设置

　　IIS的安全

　　1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。

　　2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。

　　3、删除系统盘下的虚拟目录，如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

　　4、删除不必要的IIS扩展名映射。

　　右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm。

　　5、更改IIS日志的路径

　　右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性。

　　6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

　　八、其它

　　1、 系统升级、打操作系统补丁，尤其是IIS 6.0补丁、SQL SP3a补丁，甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁。

　　2、停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装。

　　3、隐藏重要文件/目录

　　可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0

　　4、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

　　5、防止SYN洪水攻击

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名为SynAttackProtect，值为2

　　6. 禁止响应ICMP路由通告报文

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

　　新建DWORD值，名为PerformRouterDiscovery 值为0

　　7. 防止ICMP重定向报文的攻击

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　将EnableICMPRedirects 值设为0

　　8. 不支持IGMP协议

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名为IGMPLevel 值为0

　　9、禁用

　　运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。

　　对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。

　　清除“在这台计算机上启用分布式 COM”复选框。

##################################################

Windows 2008 远程桌面安全设置 2 http://www.hwhost.net/windows-2008-mstsc-setup-1.html
http://www.hwhost.net/windows-2008-mstsc-setup-1.html
今天一网友要求咱们海外服务器代购网帮忙做美国服务器代购，要求安装window
 2008的操作系统。然后这朋友又问了一个让哥们我喷血的话，说他的window 2003远程桌面时常被暴力破解，听说window 2008的远程桌面更安全，希望让咱们帮他加强远程桌面安全性。咱们给出五个解决方案。

第一：强迫执行网络级身份验证

第二：指定用户使用远程桌面

第三：禁止administrator使用远程桌面

第四：只许特定计算机使用远程桌面

第五：对远程桌面连接适当限制

—————————————————————–华丽的分割线—————————————————–

解决方案一：强迫执行网络级身份验证

Windows Server 2008系统对远程桌面功能的安全性能进行了强化，它允许网络管理员通过合适设置来强迫远程桌面连接用户执行网络级身份验证，以防止一些非法用户也趁机使用远程桌面功能来入侵Windows Server 2008服务器系统。以下操作步骤

开始–程序–管理工具–服务器管理器–配置远程桌面

在该设置对话框的“远程桌面”处，服务器系统共为我们提供了三个设置选项，为了让我们能够安全地使用远程桌面功能来远程控制服务器，Windows Server 2008系统推出了“只允许运行带网络级身份验证的远程桌面的计算机连接”这一控制选项（如图1所示），我们只要将该控制选项选中，再单击“确定”按钮保存好设置操作，日后Windows Server 2008系统就会自动强制对任何一位远程桌面连接用户执行网络级身份验证操作了，这样的话非法用户自然也就不能轻易通过远程桌面连接功能来非法攻击Windows Server
2008服务器系统了。





解决方案二：指定用户是用远程桌面

这个方法在window 2003 下同样也实用，现在我们就来说下在window 2008 下如何实现。以下为操作步骤

开始–程序–管理工具–服务器管理器–配置远程桌面–选择用户





在此，将已有用户删除，添加你允许远程的用户名称，这样的话任何一位普通用户日后都不能使用远程桌面功能来对Windows Server 2008服务器系统进行远程管理了，而只有在这里设置的特定用户才有权限通过远程桌面连接访问目标服务器系统。

 

禁止administrator使用远程桌面

在缺省状态下，Windows Server 2008服务器系统允许administrator账号使用远程桌面功能，为了防止非法攻击者尝试使用该用户账号来攻击本地服务器系统，我们可以按照下面的操作来禁止administrator账号通过远程桌面连接来访问Windows Server 2008服务器系统：

由于从服务器系统中无法直接删除administrator账号，为此我们可以采用最为极端的方法，那就是将administrator账号强行禁用；禁用该用户账号最简单的方法就是先依次单击服务器系统桌面中的“开始”/“程序”/“附件”选项，从下拉菜单中选中“命令提示符”命令，并用鼠标右键单击该命令选项，再执行右键菜单中的“以管理员身份运行”命令，打开Windows Server 2008系统的MS-DOS工作窗口，在该窗口的命令行中执行字符串命令“net user administrator /active:no”就可以了。

不过，上面的方法往往会影响网络管理员正常管理服务器系统，为此我们还可以通过为administrator账号更名的方式，来禁止administrator使用Windows Server 2008系统的远程桌面连接：

首先以超级用户的身份登录进入Windows Server 2008服务器系统，依次单击该系统桌面中的“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击“确定”按钮，打开本地服务器系统的组策略编辑控制台窗口；

其次在该控制台窗口的左侧列表区域中，将鼠标定位于“计算机配置”分支选项上，再从该分支下面依次展开“Windows设置”/“安全设置”/“本地策略”/“安全选项”，在对应“安全选项”的右侧显示区域中，双击“帐户：重命名系统管理员”目标组策略选项，打开如图所示的选项设置窗口，在该窗口中我们就能将administrator的名称修改成其他人不容易猜中的账号名称，最后单击“确定”按钮就能使设置生效了





当然，我们也可以通过将administrator账号的终端登录权限取消的方法，来达到禁止administrator使用远程桌面功能的目的；在取消administrator账号的终端登录权限时，我们可以先按前面操作打开服务器系统的组策略编辑控制台窗口，将鼠标定位于组策略编辑控制台窗口左侧区域中的“计算机配置”分支选项上，再从该分支下面依次展开“Windows设置”/“安全设置”/“本地策略”/“用户权限分配”子项，在对应“用户权限分配”子项的右侧显示区域中，双击目标组策略选项“通过终端服务允许登录”，在其后弹出的窗口中将administrators账号删除掉，如此一来，当非法用户尝试使用administrator账号远程连接Windows Server 2008服务器系统时，就会出现拒绝登录的报警提示。

只许特定计算机使用远程桌面

有的时候，为了防止局域网中的计算机病毒随意通过远程桌面连接传染给Windows Server 2008服务器系统，我们需要限定任何用户只能从局域网中特定的安全计算机上使用远程桌面功能，来远程控制目标服务器系统。为了实现只许特定计算机使用远程桌面与Windows Server 2008服务器系统建立连接的目的，我们可以按照如下步骤来设置本地服务器系统：

首先以系统管理员权限登录进入Windows Server 2008服务器系统，依次单击“开始”/“运行”命令，打开系统运行文本框，在其中输入“gpedit.msc”字符串命令，单击“确定”按钮，打开组策略编辑控制台窗口；

其次在该控制台窗口的左侧显示区域中，将鼠标定位于“计算机配置”分支选项上，再从该分支下面依次展开“管理模板”/“网络”/“网络连接”/“Windows防火墙”/“标准配置文件”子项，找到“标准配置文件”子项下面的“Windows防火墙：允许入站远程管理例外”目标组策略项目，用鼠标双击该项目，打开如图4所示的属性设置界面；

 





这样就可以避免暴力破解以及恶意CC攻击3380端口导致的麻烦了~

 

 

#############################################################

修改Windows 2008远程桌面连接端口及管理员帐号名称

--------------------------------

一、更改了Administrator用户名：

开始--运行--“gpedit.msc”--计算机配置--Windows设置--安全设置--本地策略--安全选项

找到“帐户：重命名系统管理员帐户”设置为你要的用户名即可将Administrator改名。

二、修改远程桌面默认端口：

win2008远程桌面端口默认是用的是3389端口，但是由于安全考虑，经常我们安装好系统后一般都会考虑把原来的3389端口更改为另外的端口。

本文以改为端口为25608商品为例，讲解一下具体操作过程。

打开注册表：

运行regedit。

打开注册表编辑器。

找到：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]

双击右边 PortNumber--点十进制--更改值为：21988---点确定。

然后找到： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

双击右边 PortNumber--点十进制--更改值为：21988---点确定。

更改Windows Server2008防火墙配置：

在“入站规则”中创建允许TCP 21988端口通过

重启：“Terminal Services”让远程桌面端口生效。

那么修改了端口后我们怎么连接到远程桌面啦？

其实很简单，在IP后面跟一个冒号再跟端口好就可以了。比如：203.198.128.89:21988

修改SQL Server默认连接端口

---------------------------

为SQL Server 2008设置非1433端口

打开"Sql Server Configuration Manager",双击“TCP/IP”。

修改：除IPALL项，其他项的“TCP端口”均设置为空。

只设置最下面的IPALL项的“TCP端口”值。

确定后重启SQL Server服务，打开SQL Server Management Studio，服务器名称输入127.0.0.1[\实例名],端口号，端口号就是刚才设置的端口号。

控制面板->Windows防火墙，例外 添加刚才设定的sql server端口。

三、ADO连接字符串指定端口号

    User ID=sa;Initial Catalog=pubs;Data Source=192.168.1.106,3002 //指定端口为3002

来源：http://hi.baidu.com/iamcyh/blog/item/20def0d4280b9fdb51da4bd4.html